今天七点五十左右,我发现我的工作机的远程桌面被挤下去了。我以为是断线了就没注意,等我登录再进去看的时候,发现了惊人的一幕。
桌面被人动过了,还放了两个exe文件,其中一个命令行已经执行了,好像是局域网的木马....
我电脑安装的360是团队版不能卸载,另外电脑安装了行为审计系统,索性整个黑客的操作都被截图记录了。
那两个文件我不知道是什么病毒,已经被我保留了,会不会影响到公司整个网络和储存呢?
运行了两个文件名字是,我把他们打包上传了。
NS-V2.EXE
MKP_NOWIN.exe
怎么办啊!!!心急啊,是不是已经感染到整个网络了?索性当时是下班时间,只有两三台电脑开着,但是win的NAS是不是感染了?
太着急了,我都来不及找图床了,我把图片打包传附件了
————————————————————————————————————————————————————————————
热议
推荐楼 路易的路 21小时前
简单分析了一下 NS-V2.EXE 是扫描爆破用的
MKP_NOWIN.exe 是勒索病毒
看着是老外搞的东西但是按照lz说的弱密码 就是扫爆然后人工确认开搞你内网 勒索你全部机器
建议先物理断网 再排查
推荐楼 louiejordan 昨天21:18
control是怎么变成从太肉了的
推荐楼 louiejordan 昨天22:04
我自己的电脑,常用的硬盘每周固定备份一次到移动硬盘,不经常用的放硬盘柜里,有重要数据且平时基本不会用到的硬盘我都会用BitLocker加密扔到硬盘柜或者挂在机箱上
3楼 医者的路 昨天21:18
不要急,等大佬
4楼 神秘网友 昨天21:18
来人上八倍镜
5楼 HOH 昨天21:18
重装就没这么多事了
6楼 honey 昨天21:18
等大佬看看咋回事
7楼 等1下™我老公呢 昨天21:19
这么厉害的吗?
8楼 MSN 昨天21:19
直接换硬盘
9楼 trikneet 昨天21:20
帮顶
10楼 pandaking 昨天21:20
如果你是在腾讯云上,你就在后台防火墙设置那里,设成只允许你自己的几个IP连接啊。那不就行了嘛
12楼 winamp 昨天21:21
先拔网线再说别的吧
13楼 tubos 昨天21:23
求助求助!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
14楼 喵酱暗恋我 昨天21:28
建议联系火绒或者360购买付费业务
15楼 YorkZhao 昨天21:37
拔网线,搞个PE进去删除一切改变的东西
你这得备份啊,不备份怎么办?积累经验就当
16楼 biubiu 昨天21:41
端口是不是没改,用的默认3389?
17楼 l516q 昨天21:45
360屁用没有,要不也不会中
18楼 acpp 昨天21:52
这个好像是因为没打补丁或者捆绑木马中了勒索病毒了。 你还是先备份重要文件吧
19楼 require 昨天21:52
话说你天天发帖子说这个哪个,这是被报复了吗
20楼 亲爱的瘦腿先生 昨天21:52
前几天我也是。。 我是直接密码被改了 然后又是因为DD的系统 无法直接修改密码 后面直接重装了
22楼 退休老军医 昨天21:57
1`
23楼 阿里嘎多 昨天22:00
不是勒索的就问题不大。。重装解决。。勒索的就早点上报吧。。
24楼 louiejordan 昨天22:04
我自己的电脑,常用的硬盘每周固定备份一次到移动硬盘,不经常用的放硬盘柜里,有重要数据且平时基本不会用到的硬盘我都会用BitLocker加密扔到硬盘柜或者挂在机箱上
25楼 super6969 昨天22:06
推倒重来,公司网络还是用付费订阅的杀毒软件吧,有行为管理 居然没IPS/IDS企业级防火墙,也没有设置可信客户端连接这还是让我惊讶了一把
26楼 tubos 昨天22:07
推倒重来,公司网络还是用付费订阅的杀毒软件吧,有行为管理 居然没IPS/IDS企业级防火墙,也没有设置可信客 ...
我在深深的自责中,主要是前几天图方便开了弱口令3389....
27楼 蛋蛋的憂傷 昨天22:09
密码放的太简单了吧。。。
28楼 super6969 昨天22:11
我在深深的自责中,主要是前几天图方便开了弱口令3389....
这确实是你的不对了,端口都懒得改还弱口令,不全公司电脑查一遍无法知道有没有扩散到其他机器
29楼 ttkm 昨天22:36
不明觉厉
30楼 WZ-Software 昨天22:40
交给火绒吧,一天不到给你干掉
32楼 叮当猫 昨天23:06
搜一下所有最新多出来的文件,
看下进程和服务 有没有可疑的不认识的,
抓包软件抓一个有没有可疑的发包,
最保险的方法还是备份重要文件后重装系统
33楼 maowenjie 昨天23:14
备份重要文件 然后重装系统
废不了多少时间
34楼 fzaas 昨天23:22
小心勒索病毒。赶紧备份数据
35楼 biubiu 昨天23:22
3389,默认用户名,强密码,定期更新,这样四条可得注意啊
36楼 mjjok 昨天23:46
火绒收费贵不
去官网看一眼咨询一下客服企业版的价格。
这里的mjj估计没人用企业版
37楼 路易的路 21小时前
简单分析了一下 NS-V2.EXE 是扫描爆破用的
MKP_NOWIN.exe 是勒索病毒
看着是老外搞的东西但是按照lz说的弱密码 就是扫爆然后人工确认开搞你内网 勒索你全部机器
建议先物理断网 再排查
38楼 三丫的 21小时前
之前给搞挖矿
39楼 主菜单 15小时前
为何不开启自动更新?为何要装360?为何不用向日葵远程?
40楼 清水常流 15小时前
完蛋了,可以和黑客一起直播了。
42楼 amao000765 13小时前
内网机器直接映射出去了? 如果下班后要连接公司机器建议选择什么向日葵啊啥的,或者用V披N连到公司。别图所谓的方便了。
43楼 wodeweiyimpm 13小时前
火绒可以联系工程师 不收费
44楼 WZ-Software 9分钟前
火绒收费贵不
去论坛发帖不要钱呀
申明:本文内容由网友收集分享,仅供学习参考使用。如文中内容侵犯到您的利益,请在文章下方留言,本站会第一时间进行处理。